モバイルデバイスが普及し、IoT、AI といったテクノロジーがビジネスで活用されるようになった今、業務に利用するWebアプリケーションの開発には「スピード」が求められるようになっている。目まぐるしく変化する市場の動向やユーザーニーズに対応した柔軟なビジネスを展開するためには、スピーディなソフトウェア開発環境の構築が不可欠である。Webアプリケーションの開発においても例外ではなく、ITの進化による利用環境の変化や先端技術の取り込みのためにアップデートが頻繁に行われている。このため、あらかじめ全体的な機能設計を完了させてから機能の実装を行うウォーターフォール型のソフトウェア開発では対応することが難しくなっており、多くの企業はCI(継続的インテグレーション)の手法を取り入れ、ソフトウェア品質を維持しながら短いスパンでのリリース(アップデート)を目指している。そのために用いられているのが、ビルド、テスト、フィードバックといった作業を自動化してソフトウェア開発の効率化・高速化を実現するCIツールだ。
開発とセキュリティ検査を統合して「DevSecOps」を実現
現代のソフトウェア開発において重要な役割を果たしているCIツールは、近年注目を集めている「DevOps」の手法を取り入れた柔軟でスピード感のあるソフトウェア開発モデルを実現する。開発部門(Development:Dev)と運用部門(Operations:Ops)が分断されず、CIツールにより自動化された開発内で協力して作業を進めることが可能となる。
ただし、脆弱性対策が重要視される現代のビジネスにおいては、開発だけでなくセキュリティの検査も重要な要素だ。ソフトウェアの脆弱性が企業の存在を揺るがすリスクとなることは、ほとんどの企業が認識しており、当然ソフトウェアを開発する際にはセキュリティ検査を実行しているが、開発とセキュリティ検査を個別のフローとして運用し、セキュリティベンダーに検査フローを外注しているという企業も少なくない。独立したセキュリティ検査は、コストの増大を招くだけでなく、確認作業が重なることからソフトウェア開発の期間も延びてしまう。「DevOps」で効率的な開発フローを実現したとしても、検査フローでのセキュリティ検査が終わらなければリリースできないため、リリース時期の遅れにつながる。また、迅速なリリースにこだわるあまりセキュリティ検査をおざなりにし、その結果大きなトラブルが発生する可能性もあるだろう。
このため、最近では先に述べた「DevOps」にセキュリティ(Security:Sec)を加えた「DevSecOps」というワードも注目され始めている。開発・運用・情報セキュリティ部門を連携し、開発と検査を一本化することで、前述したセキュリティ検査の抱えるコスト・スピード面での課題を解決。セキュリティ面での品質を担保したまま迅速な開発を実現するという手法だ。本稿からダウンロードできる資料では、「DevSecOps」を取り込んだ開発の実現を強力にサポートするWebアプリケーション脆弱性検査ツールについての詳細を確認できる。企業が利用している各種CIツールと連携させることにより開発と検査を統合。個別に検査を動かしていた場合に比べ、脆弱性の検査タイミングが大幅に前倒しされるため、脆弱性が検出された場合の手戻り工数を削減することが可能となる。「DevSecOps」によるセキュアで効率的な開発の実現を目指している企業担当者は、ぜひご一読いただきたい。
資料のご案内
あらゆる変化や脅威に対応する理想のソフトウェア開発環境とは
[PR]提供:ユービーセキュア